Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 53

Die Problematik des Spannungsfelds zwischen Datenschutz- und Vertragsrecht erstreckt sich zudem auf die Betriebsphase eines IT-Outsourcingvertrages.

Eine zentrale Komponente des Privacy by Design und dessen Unterfalls, des Privacy by Default, besteht unter anderem darin, über die unmittelbare Verpflichtung des Verantwortlichen, den Datenschutz fortlaufend über den gesamten Zeitraum einer fortdauernd erbrachten, drittbezogenen Leistung sicherzustellen. So trifft den Outsourcing-Dienstleister mittelbar die Pflicht zum fortlaufenden Datenschutz durch Technikgestaltung nach Art. 25 DS-GVO, wenn die entsprechende fortlaufende Datenschutz-Compliance von den Parteien ausdrücklich oder konkludent vereinbart wird. Auch insoweit helfen die regelmäßig vereinbarten „Compliance with Law“-Klauseln auch für die Betriebsphase. Im Übrigen sind die zuvor angestellten Überlegungen zu mangelhaften bzw. nicht-vertragsgemäßen Leistungen im Rahmen von Werk- und/oder Dienstverträgen heranzuziehen, je nachdem wie man die Betriebsphase eines IT-Outsourcingvertrages oder seiner einzelnen Leistungsbestandteile im Sinne eins gemischt-typischen Vertrages rechtlich qualifizieren will. In diesem Rahmen kommt dem „Stand der Technik“ und der im Rahmen des Art. 25 Abs. 1 DSGVO durchzuführenden Abwägung zur Bestimmung des Leistungsinhalts und damit mittelbar der Frage der ordnungsgemäßen Leistungserfüllung besondere Bedeutung zu.